Ini Brian Smith-Sweeney, dia mengepalai risiko infosec di Two Sigma Dia memberikan ceramah di Black Hat pada tahun 2023 Dua tahun sebelumnya, pada tahun 2021, dia secara tidak sengaja menemukan kerentanan baru di OAuth Google Dia menekankan vektor serangan tidak terbatas pada Google

@twosigma @BlackHatEvents itu tidak terkait dengan vektor yang saya posting, selain itu juga OAUTH Ini lebih mudah, memerlukan persetujuan eksplisit, meskipun dari layanan Google pihak pertama ke layanan Google pihak pertama lainnya Triknya adalah, itu bukan Google Ini adalah pihak ketiga yang meniru identitas Google, dan berhasil

"Jika Anda memberi tahu pengguna Anda untuk mencari [otorisasi ke aplikasi pihak ketiga], mereka tidak akan menemukannya"

@BlackHatEvents dalam penelitiannya tentang oauth google, dia melihat beberapa string aneh Dia memecahkan kodenya dan mencari dokumentasi Dikatakan, server otorisasi Google harus mengembalikan kode otorisasi *di bilah judul browser*

@twosigma "Saya tidak tahu berapa banyak dari Anda yang pernah terlibat dalam mengembangkan sistem pengiriman pesan atau penyimpanan kredensial yang aman" "Saya tidak tahu apakah Anda pernah berpikir, Anda tahu di mana kita harus meletakkannya? taruh di bilah judul browser" "Mudah bagiku untuk membuat lelucon di belakang"

@BlackHatEvents sulit bagi saya untuk percaya, dan saya melihatnya sendiri

itu nyata

Setelah dia melacak string yang didekodekan, dia juga menemukannya direferensikan dalam listserv postingan ini oleh rekan penulis banyak spesifikasi oauth, termasuk RFC 8252, spesifikasi oauth yang dimaksud dia tidak punya apa-apa yang baik untuk dikatakan

Vektor ini memiliki daya tahan yang hampir sama dengan yang saya posting Sekali lagi, di lapisan otorisasi, token OAuth adalah autentikasi pasca Dia juga mencatat bahwa jika terjadi kompromi akun, pengaturan ulang kata sandi tidak berpengaruh sama sekali juga tidak mekanisme pemulihan tradisional secara umum

@BlackHatEvents bahkan dalam mekanisme API yang lebih terperinci dari Google Workspaces, dia mencatat bahwa kontrol akses tidak memengaruhi aplikasi Google pihak pertama Google Apps pihak pertama adalah tempat aplikasi non-Google-nya muncul

Di sinilah saya juga mendarat

@BlackHatEvents dia juga memperingatkan tentang token OAUTH "Hal-hal itu hidup selamanya"

Saya suka cara dia berakhir Dia mengatakan, di sini, di Two Sigma, kami menghargai belajar dan belajar Kemudian dia pergi, jika Anda bertanya sesuatu atau memberi tahu saya sesuatu, di mana salah satu dari kami belajar sesuatu, saya akan memberi Anda beberapa barang dua sigma tidak mengherankan, itu adalah setumpuk kartu